作者QoHyacinthoQ (威呈~残雨虹)
看板Linux
标题[问题] contab无法输出ausearch正确内容请教
时间Fri Jul 28 21:24:34 2023
前提:相关services均有重启、确认status正常、均使用root、Red Hat 7.9 & 8.6。
vi /etc/audit/rules.d/audit.rules
底下有加了:-w /tmp/test -p wa -k audit_check
手动执行都正常:
ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
当/tmp/test内有异动会写入到audit_check.log
但我用crontab设定:
xx xx * * * ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
结果audit_check.log的内容反而变成空的(非无输出,会被盖掉),请问为何?
其它尝试(一样手动跑shell可以、但透过crontab就不行):
xx xx * * * sh /root/audit_check.sh
#!/bin/bash
PATH=/usr/sbin:/sbin:/usr/bin:/bin
/usr/sbin/ausearch -ts today -k audit_check > /var/log/audit_check/audit_check.log
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.53.162.19 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Linux/M.1690550676.A.AFA.html
1F:推 lantw44: 看一下信箱有没有收到错误讯息? 07/28 21:34
2F:→ QoHyacinthoQ: 是成功的,只是覆盖变成空值?有内容变无内容.. 07/28 21:55
3F:推 menterning: 写在 /etc/crontab 的 audit_check.sh 要有完整路径 07/31 07:15
4F:→ QoHyacinthoQ: 我直接用root去crontab -e,有给完整路径,结果会是 08/01 09:12
5F:→ QoHyacinthoQ: no match而空白,我怀疑是参数-ts today的问题? 08/01 09:12
6F:推 ray0609: 看不出来你多久我执行一次,如果做一次要很久,结 08/19 13:32
7F:→ ray0609: 果下一个又开始执行了,就可能是空白 08/19 13:32